Prácticas recomendadas para responder a un incidente de seguridad

Póngase en contacto con el integrador de sistemas y el personal de seguridad adecuado para llevar a cabo tareas de investigación y corrección.

Determine el alcance del ataque:

• ¿Se accedió a la información de tarjeta de crédito?
• ¿Qué información fue robada?
• ¿Cuánto tiempo ha pasado desde el compromiso?
• ¿La información estaba encriptada?

Intente encontrar el vector de ataque para determinar cuándo y cómo se comprometió el sitio, revisando los archivos de registro del servidor y los cambios de archivo.

• En determinadas circunstancias, puede ser aconsejable borrar y volver a instalar todo o, en el caso del alojamiento virtual, crear una nueva instancia. El malware podría estar oculto en una ubicación insospechada a la espera de restaurarse.

• Elimine todos los archivos innecesarios. A continuación, vuelva a instalar los archivos necesarios desde un origen limpio y conocido. Por ejemplo, puede volver a instalar con archivos del sistema de control de versiones o desde los archivos de distribución originales desde el Adobe.

• Restablezca todas las credenciales, incluida la base de datos, el acceso a archivos, las integraciones de pago y envío, los servicios web y el inicio de sesión del administrador. Restablezca también todas las claves y cuentas de integración y API que puedan utilizarse para atacar el sistema.

Registros De Acciones De Administración De Auditoría.

El informe Registros de acciones muestra un registro detallado de todas las acciones de administración habilitadas para el registro. Cada registro tiene una marca de hora y registra la dirección IP y el nombre del usuario. El detalle del registro incluye los datos de usuario de administración y los cambios relacionados que se realizaron durante la acción.

Analice eventos con la herramienta Observación para Adobe Commerce.

La herramienta Observación para Adobe Commerce le permite analizar problemas complejos para ayudar a identificar causas básicas. En lugar de rastrear datos dispares, puede dedicar su tiempo a correlacionar eventos y errores para obtener información más detallada sobre las causas de los cuellos de botella del rendimiento.

Use la ficha Seguridad de la herramienta para tener una visión clara de los posibles problemas de seguridad y ayudar a identificar las causas principales y mantener el rendimiento óptimo de los sitios.

Analizar registros con Registros de New Relic

Los proyectos Pro de Adobe Commerce en infraestructura en la nube incluyen el servicio Registros de New Relic. El servicio está preconfigurado para agregar todos los datos de registro de los entornos de ensayo y producción y mostrarlos en un panel de administración de registros centralizado, donde puede buscar y visualizar los datos agregados.

Para otros proyectos de Commerce, puede configurar y utilizar el servicio Registros de New Relic para completar las tareas siguientes:

• Use consultas de New Relic para buscar datos de registro agregados.
• Visualice los datos de registro mediante la aplicación New Relic Logs.

Revisar el acceso de los usuarios administradores: elimine las cuentas antiguas, no utilizadas o sospechosas y gire las contraseñas de todos los usuarios administradores.

Revisar la configuración de seguridad de administración: compruebe que la configuración de seguridad de administración sigue las prácticas recomendadas de seguridad.

Revise las cuentas de usuario de Adobe Commerce en los proyectos de infraestructura en la nube: elimine las cuentas antiguas, no utilizadas o sospechosas y gire las contraseñas de todos los usuarios administradores de proyectos en la nube. Asegúrese de que la configuración de seguridad de la cuenta es correcta.

Auditar claves SSH para Adobe Commerce en la infraestructura en la nube: revise, elimine y gire las claves SSH.

Desde el administrador, revise la configuración del encabezado y pie de página del HTML en todos los niveles de ámbito, incluidos website y store view. Elimine cualquier código JavaScript desconocido de los scripts y las hojas de estilos, así como la configuración de varios HTML. Conservar solo código reconocido, como fragmentos de seguimiento.

Compare el código base de producción actual con el código base almacenado en el Sistema de control de versiones (VCS).

Ponga en cuarentena cualquier código sospechoso.

Asegúrese de que no queden restos de código sospechoso mediante la reimplementación de la base de código en el entorno de producción.

Revise los procedimientos almacenados para ver si hay modificaciones.

Compruebe que solo la instancia de Commerce puede acceder a la base de datos.

Verificar que el malware ya no está presente analizando el sitio con herramientas de análisis de malware disponibles públicamente.

Proteja el panel de administración cambiando su nombre y comprobando que las direcciones URL del sitio app/etc/local.xml y var no son de acceso público.

Continúe monitorizando de cerca el sitio después del incidente, ya que muchos sitios se comprometen de nuevo en cuestión de horas. Garantice la revisión continua del registro y la monitorización de la integridad de los archivos para detectar rápidamente cualquier señal de nuevo compromiso.